Gmail 日志事件

作为组织的管理员,您可以执行与 Gmail 日志事件相关的搜索,并根据搜索结果采取行动。您可以查看操作记录,了解贵组织的用户和管理员在 Gmail 中的活动情况,例如何时将电子邮件归类为垃圾邮件、从隔离区中释放邮件或将邮件发送到管理员隔离区。然后,您可以使用安全调查工具采取行动,例如删除特定邮件,将邮件标记为垃圾邮件或钓鱼式攻击邮件,或者将邮件发送至隔离区或用户的收件箱。

关于查看 Gmail 邮件内容

如果您在调查工具中拥有相应权限并具备所需的 Google Workspace 版本,还可以在调查中查看 Gmail 邮件内容。如需了解详情,请参阅使用调查工具查看敏感内容

能否执行搜索取决于您的 Google 版本、管理员权限和数据源。无论用户使用何种 Google Workspace 版本,您都可以对所有用户执行搜索。

审核和调查工具

如需搜索日志事件,请先选择数据源,然后选择一个或多个搜索过滤条件。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 报告 然后 审核和调查 然后 Gmail 日志事件

    需要拥有审核与调查管理员权限。

  2. 如要过滤在特定日期之前或之后发生的事件,请针对日期选择之前之后。默认情况下,系统会显示过去 7 天内的事件。您可以选择其他日期范围,也可以点击 移除日期过滤条件。

  3. 点击添加过滤条件 然后 选择一个属性。例如,如需按特定事件类型过滤,请选择事件
  4. 选择一个运算符 然后 选择一个值 然后 点击应用
    • (可选)如需创建多个过滤条件来执行搜索,请重复此步骤。
    • (可选)如需添加搜索运算符,请在添加过滤条件上方选择或者
  5. 点击搜索注意您可以使用过滤条件标签页来添加简单的参数和值对,以便过滤搜索结果。您还可以使用条件构建器标签页,其中的过滤条件由“且”/“或”运算符连接的条件表示。

安全调查工具

支持此功能的版本:一线员工标准版和一线员工 Plus 版;企业标准版和企业 Plus 版;教育标准版和教育 Plus 版;企业基本功能 Plus 版;Cloud Identity 专业版。 比较您的版本

如要在安全调查工具中执行搜索,请先选择数据源,然后选择一个或多个搜索条件。请为每个条件分别选择属性运算符,以及

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 安全性 然后 安全中心 然后 调查工具

    您需要拥有安全中心管理员权限。

  2. 点击数据源,然后选择 Gmail 日志事件

  3. 如要过滤在特定日期之前或之后发生的事件,请针对日期选择之前之后。默认情况下,系统会显示过去 7 天内的事件。您可以选择其他日期范围,也可以点击 移除日期过滤条件。

  4. 点击添加条件
    提示:您可以添加一种或多种搜索条件,或使用嵌套查询自定义搜索。如需了解详情,请参阅使用嵌套查询自定义搜索
  5. 点击属性 然后 选择一个选项。例如,如需按特定事件类型过滤,请选择事件
    如需查看完整的属性列表,请参阅下文中的属性说明部分。
  6. 选择一个运算符。
  7. 输入一个值或从列表中选择一个值。
  8. (可选)如需添加更多搜索条件,请重复上述步骤。
  9. 点击搜索
    您可以在页面底部的表格中查看调查工具的搜索结果。
  10. (可选)如需保存调查,请点击“保存”图标 然后 输入标题和说明 然后 点击保存

备注

  • 条件构建器标签页中,过滤条件由“且”/“或”运算符连接的条件表示。您还可以使用过滤器标签页,通过添加简单的参数和值对来过滤搜索结果。
  • 如果您为用户重新命名,则查询结果不会包含该用户旧名称对应的记录。例如,如果您将 <旧名称>@example.com 重新命名为 <新名称>@example.com,则查询结果不会显示与 <旧名称>@example.com相关的事件。
  • 您只能搜索尚未从“回收站”中删除的邮件中的数据。

属性说明

对于此数据源,您可以在搜索日志事件数据时使用以下属性。

属性 说明
执行者应用信息 用于执行操作的应用的详细信息。

如需按应用特定数据进行搜索,请从菜单中选择 Actor application info,然后选择一个嵌套列:Actor application nameActor OAuth 客户端 IDImpersonation

搜索结果会显示在演员应用名称列中。
注意:您可能需要将此列添加到搜索结果中。如需了解相关步骤,请参阅管理搜索结果列数据

点击搜索结果中的条目,即可打开日志详细信息面板,其中会显示:

  • 操作者应用名称 - 用于执行操作的应用的名称
  • 操作者 OAuth 客户端 ID - 第三方应用的标识符
  • 冒充 - 应用是否冒充用户

如果您将信息导出到逗号分隔值 (CSV) 文件或 Google 表格,该信息将作为单个文本块保存在单元格中。
附加附件 Chrome 浏览器的 ID
附件哈希 附件的 SHA256 哈希值
附件恶意软件系列 恶意软件类别(如果在处理邮件时检测到恶意软件),例如“可能有害的内容”“已知的恶意程序”或“病毒/蠕虫”
附件名称 附件的名称
客户端类型 Gmail 客户端类型,例如 Web、Android、iOS 或 POP3。
日期 事件发生的日期和时间(以您浏览器的默认时区显示)
委托 代表所有者执行操作的受托用户的电子邮件地址
设备会话标识符 为邮件客户端用户会话生成的唯一 ID
DKIM 域名 通过 DKIM(域名密钥标识邮件)机制进行身份验证的域名
网域 发生操作的网域
事件 所记录的事件操作,例如“附件下载”“链接点击”“发送”或“查看”。
发件人(信封) 发件人的信封地址
发件人(标头地址) 邮件标头中显示的发件人标头地址,例如 user@example.com
发件人(标头名称) 邮件标头中显示的发件人标头显示名称
地理位置 根据中继 IP 确定的 ISO 国家/地区代码
包含附件 电子邮件包含附件
有受托人 是否有代表所有者执行操作的受托用户
IP 地址 最初发送邮件或与邮件交互的邮件客户端的 IP 地址

IP ASN

您需要将此列添加到搜索结果中。如需了解相关步骤,请参阅管理搜索结果列数据

与日志条目关联的 IP 自治系统编号 (ASN)、细分和区域。

如需查看发生活动的 IP ASN、细分和区域代码,请点击搜索结果中的名称。
链接网域 从邮件正文中的链接网址中提取出来的域名
消息 ID 邮件标头中显示的唯一邮件 ID
OAuth 项目 ID 使用 OAuth 进行身份验证的开发者的 Cloud 控制台项目 ID
Owner 电子邮件的所有者。对于入站邮件,它是收件人。对于出站邮件,它是发件人。
资源 与操作关联的文件、文件夹或规则的详细信息。

如需按这些详细信息进行搜索,请从菜单中选择资源,然后选择一个嵌套列:资源 ID资源标题资源类型

结果会显示在资源列中。点击相应条目即可打开日志详细信息面板,其中会显示:
  • 资源 ID - 资源标识符
  • 资源标题 - 资源的标题
  • 资源类型 - 资源的类别(例如 Google 云端硬盘、电子邮件或规则)
  • 资源关系 - 资源与事件的关系
  • 资源标签 - 应用于资源的分类标签
  • 资源标签字段 - 标签中的特定字段和数据类型

如果您将信息导出到逗号分隔值 (CSV) 文件或 Google 表格,该信息将作为单个文本块保存在单元格中。
资源标签 分配给资源的分类标签的相关详细信息。

如需按此信息进行搜索,请从菜单中选择资源标签,然后选择一个嵌套列:资源标签 ID资源标签标题

结果会显示在资源列中。点击相应条目即可打开日志详细信息面板。
资源标签字段 有关分类标签中特定字段的详细信息。

如需按这些字段进行搜索,请从菜单中选择资源标签字段,然后选择一个嵌套列:标签字段 ID标签字段名称标签字段类型

结果会显示在资源列中。点击相应条目即可打开日志详细信息面板。
资源标签字段值 有关输入到特定标签字段中的数据的详细信息。

如需按这些值进行搜索,请从菜单中选择资源标签字段值,然后选择一个嵌套列:日期数字选择选择列表文本用户用户列表

结果会显示在资源列中。点击相应条目即可打开日志详细信息面板。
发件人网域 发件人的网域
垃圾邮件分类 电子邮件的垃圾邮件分类,例如“垃圾邮件”“恶意软件”“钓鱼式攻击”“可疑”或“安全(非垃圾邮件)”
网络垃圾分类原因 邮件被归类为垃圾邮件的原因,例如明显的垃圾邮件、自定义规则、发件人声誉可疑附件
SPF 网域 用于进行发件人政策框架 (SPF) 身份验证的域名
主题 电子邮件主题行
目标附件哈希 如果用户与邮件的附件互动,则为有关 SHA256 附件哈希的信息
目标附件恶意软件系列 如果用户与邮件的附件互动,则为有关附件恶意软件系列的信息 - 例如“内容可能有害”“已知的恶意程序”或“病毒/蠕虫”
目标附件名称 如果用户与邮件的附件互动,则为有关附件名称的信息
目标云端硬盘 ID 如果用户与邮件的云端硬盘内容互动,则为有关云端硬盘 ID 的信息
目标链接网址 如果用户与邮件的链接互动,则为有关链接网址的信息
收件人(信封) 收件人的信包地址
流量来源 表明电子邮件是在内部(在您的网域内)还是在外部发送/接收

根据搜索结果采取行动

在安全调查工具中执行搜索后,您可以根据搜索结果采取行动。举例来说,您可以搜索 Gmail 日志事件,然后使用调查工具删除特定邮件,或者将邮件发送至隔离区或用户的收件箱。如需详细了解可在安全调查工具中执行的操作,请参阅根据搜索结果执行操作

管理调查

查看调查列表

如需查看您自己的调查列表以及其他人与您共享的调查列表,请点击“查看调查”图标 。调查列表中包含调查的名称、说明和负责人,以及最后修改日期。

在此列表中,您可以对所拥有的任意调查执行操作(例如删除调查)。只需选中相应调查的复选框,然后点击操作

注意:在调查列表正上方的快速访问部分,您可以查看最近保存的调查。

为调查配置设置

作为超级用户,您可以点击“设置”图标 ,以便执行以下操作:

  • 更改调查的时区,搜索条件和结果会采用您设置的时区。
  • 开启或关闭需要审核者。有关详情,请参阅需要审核者批准进行批量操作
  • 开启或关闭查看内容。开启后,拥有适当权限的管理员可以查看内容。
  • 开启或关闭需要输入执行操作的原因

有关说明和详细信息,请参阅为调查配置设置

管理搜索结果中的列

您可以控制在搜索结果中显示哪些数据列。

  1. 在搜索结果表格的右上角,点击“管理列”图标
  2. (可选)如要移除当前列,请点击“移除内容”图标
  3. (可选)如要添加列,请点击“新增列”旁边的向下箭头 ,然后选择相应数据列。
    根据需要重复上述步骤。
  4. (可选)如要更改列的顺序,请拖动列名称。
  5. 点击保存

导出搜索结果中的数据

您可以将安全调查工具中的搜索结果导出为 Google 表格文件或 CSV 文件。如需查看相关说明,请参阅导出搜索结果

共享、删除和复制调查

如要保存搜索条件或与他人共享搜索条件,您可以创建并保存调查,然后共享、复制或删除调查。

如需了解详情,请参阅保存、共享、删除和复制调查

何时可以查看数据?数据会保留多久?

如需详细了解数据源,请参阅数据保留时间和延迟时间